4 mars 2016

Sur la fin d’année dernière et ce début d’année notre offre s’est enrichie avec l’arrivée de plusieurs solutions :

  • Darktrace
  • Gigamon
  • Skyhigh

Darktrace (www.darktrace.com) :

un produit d’analyse comportementale réseau et utilisateur, qui permet d’identifier les comportements anormaux sur le réseau interne de l’entreprise. L’approche technologique de la solution est ici nouvelle. La solution s’appuie sur du machine learning couplé à des mathématiques, statistiques. Elle apprend en continu et modélise le trafic réseau et utilisateur, et effectue des prédictions sur ce que doit être le trafic normal associé à ceux-ci. Ceci, couplé à une analyse temporelle et multidimensionnelle (ex. changement protocolaire, connexion vers l’extérieure etc), permet de détecter les comportements anormaux.

Il s’agit ici d’une solution complémentaire des solutions préventives et qui vient enrichir notre offre de produit orientée ‘’security analytic’’.

 

 

Gigamon (www.gigamon.com).

Nous sommes ici dans une consolidation de notre offre de ‘’security analytic’’ (mais pas que, voir un peu plus loin, c’est pour faire une transition). La solution GigaVUE est une matrice n vers 1 et 1 vers n qui permet de remonter les flux capturés par un port SPAN ou TAP vers un ou plusieurs outils de sécurité : Darktrace, une solution de sandboxing, un IDS, une solution de forensic réseau etc. ou une solution d’analyse de performance réseau ou applicative ! C’est un matrice intelligente qui va nous permettre de faire de la conversion de média mais surtout de filtrer très finement le trafic capturé pour n’envoyer que le trafic nécessaire aux différents outils (sélection de la donnée intéressante du header au payload, masquage de n° de carte bancaire, dés-encapsulation de paquets VXLAN, suppression de paquets dupliqués, dé-duplication des paquets répétés, génération de flux Netflow, time-stamp de paquets etc.). Ceci dans les mondes physique et virtuel.

La solution a aussi son intérêt pour faire de la prévention par exemple pour protéger plusieurs liens différents (cuivre, fibre, 1G/10G) par un seul IPS, pour décharger un IPS, un NGFW ou un WAF de la fonctionnalité de déchiffrement SSL (sur du flux ‘’entrant’’, pas de Man-in-the-middle) ou pour faire un bypass en cas de problème sur l’équipement.

 

Skyhigh (www.skyhighnetworks.com)

Même si la solution dispose d’une fonctionnalité d’analyse comportementale de l’activité des utilisateurs, nous changeons ici de thématique  pour aborder le monde des CASB (Cloud Access Security Broker). Skyhigh y est un acteur reconnu et le premier à avoir mis l’emphase sur la problématique de Shadow IT (la détection des applications Cloud utilisées par l’entreprise). Skyhigh se positionne en mode reverse proxy entre les utilisateurs et les services Cloud (et/ou en utilisant les API du fournisseur de service Cloud). Comme la majorité des acteurs du CASB, Skyhigh supporte les applications Saas les plus ‘’générales et répandues’’ telles que Office 365, Box, Saleforces, ServiceNow etc. Mais Skyhigh va relativement loin dans la sécurisation de ses services. Par exemple la plupart des acteurs annoncent le support d’Office365 mais peu sont en mesure de faire des actions sur Sharepoint. Skyhigh se distingue aussi par sa capacité à chiffrer la donnée non structurée et aussi structurée (et donc être en mesure, par exemple,  de conserver la capacité de ‘’search’’ ou de filtrage dans une application).

 

 

VMware NSX (www.vmware.com)

VMware n’est pas un nouveau partenaire, nous intégrons la solution vSphere à travers notre offre d’hyperconvergence Simplivity ou dans le cas d’un déploiement classique mais nous sommes néanmoins ici sur une nouvelle approche, la virtualisation du réseau. NSX permet de créer des réseaux virtuels sur une architecture réseau physique en place en créant des overlays entre les serveurs ESXi. Cela permet de créer rapidement un réseau pour un besoin de maquette/pré-production, de segmenter facilement son architecture, de faciliter la mise en place de PRA. La solution dispose de fonctionnalités de routage distribué, de firewalling distribué mais aussi de load-balancing, de NAT, de terminaison VPN, d’une passerelle avec le monde physique ( niveau 2). Il est à noter que la solution peut être pertinente dans un cas d’usage de micro-segmentation avec le firewall distribué qui permet de filtrer le trafic des machines virtuelles au niveau de la vNic sans avoir besoin de déployer la solution dans sa globalité (les overlays VXLAN). NSX peut aussi être couplé avec les solutions de PaloAlto ou F5, entre autre, s’il est nécessaire de disposer de fonctionnalités ici de sécurité ou de répartition de charge plus poussées. Par exemple le firewall distribué travaille au niveau 4 sur la partie réseau et peut être couplé avec PaloAlto pour travailler au niveau application et disposer d’analyse antimalware.

 

Dans le domaine des réseaux et de la sécurité, les acteurs majeurs, nous sommes partenaires de quelques-uns d’entre eux, rachètent les nouveaux éditeurs innovants qui leurs permettent de consolider leur solution globale. Nous avons donc régulièrement de facto de nouveaux produits qui viennent compléter notre offre.

Ainsi Bluecoat a racheté Elastica (www.elastica.net) ainsi que Perspecsys (www.perspecsys.com) deux acteurs du monde du CASB. Elastica a un positionnement orienté shadow-IT, détection d’anomalie, analyse comportementale tandis Perspecsys est une solution de chiffrement/tokenization. Elastica se déploie en mode forward proxy par le biais d’un fichier PAC ou du proxy chaining (avec du proxySG !).

Paloalto Networks a aussi racheté ‘’son’’ acteur du CASB, CirroSecure, un pur player API. L’offre sera prochainement commercialisée sous le nom Aperture en Europe (le Datacenter Européen est en cours de finalisation). Ceci associé à l’amélioration du rapport des applications cloud utilisées dans la version 7.1 de Panos qui sort bientôt, tient tient … Dans un autre domaine, c’est un peu plus ancien, Paloalto Networks a sorti en Q4 de l’année dernière Autofocus (un développement interne cette fois-ci) sa solution de Threat Intelligence.  Autofocus permet d’avoir une vue sur la Threat Intelligence Paloalto provenant d’une corrélation des informations présentes dans le Cloud PaloAlto (WildFire, PanDB, TP), de feeds tiers et des recherches de son unité 42 (http://researchcenter.paloaltonetworks.com/unit42/). La vue peut être globale ou par secteur d’activité. Cela permet de faciliter l’analyse, prioriser les actions. Il est aussi possible d’exporter les IOC (pour les importer dans un  SIEM ou dans une Dynamic Block List sur les FW). La version 7.1 de panos permet d’intégrer les firewalls et la console Panorama à Autofocus.

 

La Threat Intelligence a actuellement le vent en poupe. Fireeye a ainsi récemment acheté la société Isightpartners (www.isightpartners.com) qui est un des acteurs reconnus sur ce secteur. Certainement pour leur service de Professional Services (ex Mandiant) mais aussi pour enrichir leurs bases d’IOC notamment celle qu’ils commercialisent à travers leur produit de Endpoint Detection Response, HX (qui d’ailleurs va prochainement disposer d’une fonctionnalité de prévention d’exploit). Fireye a aussi racheté plus récemment Invotas (http://invotas.io/start-here), une solution d’orchestration de la sécurité. Nous n’avons pas encore regardé précisément mais l’automatisation de la sécurité est aussi un sujet dans l’air du temps.

Si nous revenons à la notion de Threat Intelligence, Infoblox qui s’oriente de plus en plus vers la sécurité, (après le DNS firewall), a acquis récemment la société IID (http://internetidentity.com/). Nous attendons des informations de la part d’Infoblox (enfin Arnold notre responsable produit) mais, de notre compréhension, l’idée est de proposer des rapports/statistiques de sécurité basés sur le contexte afin, par exemple, de dire à quel switch/VLAN/interface est connecté un poste qui échange régulièrement avec des machines connues pour faire partie de réseaux de botnets. La Threat Intelligence est actuellement un buzz word mais c’est un sujet bien connu des équipes SOC, CERT, dont le métier est de jongler entre les outils qu’elles ont à leur disposition, les feeds  publics et privés auxquels elles sont abonnés et des outils tels que Virustotal,  Whois, ThreatExpert  pour essayer de trouver de l’information vis-à-vis d’une règle IPS qui a généré une alerte. Nous sommes actuellement en train d’étudier une solution qui pourrait leur être grandement utile. Sujet à suivre.

 

Pour changer de topics, F5, notre premier partenaire, a racheté il y a quelques années maintenant la société Versafe. Du rachat est née la solution Websafe qui est un couplage entre un module BigIP (FPS, Fraud Protection Service) et une solution on-premise ou cloud. La solution existe depuis quelques temps maintenant, je ne suis pas sûr que le module utilisé soit le plus connu et F5 semble vouloir mettre l’emphase dessus sur cette année. Le but de la solution est de protéger les utilisateurs contre les attaques de phishing ou de vols de credentials. Plus qu’un long discours vous trouverez un courte vidéo qui expose la brique anti-phishing : https://devcentral.f5.com/articles/solution-anti-phishing-f5-websafe.

Pulse Secure vient de sortir en béta un profiler pour prendre en compte les équipements non compatibles 802.1X (pour couvrir ce besoin Juniper avait développé un partenariat technologique avec la société Great Bay Software) et faire du ‘’faux NAC’’ en se basant sur les adresses Mac.

Balabit dispose d’un nouveau produit BlindSpoter qui collecte les logs des équipements pour en déduire un comportement normal d’un utilisateur et d’alerter en cas de déviance. Ça c’est sur le papier nous sommes en train de nous organiser pour tester.

 

J’ai très certainement oublié plein de choses. Si vous êtes intéressés par une présentation d’un produit évoqué, une présentation globale de ceux-ci ou bien si vous êtes à la recherche d’un produit pour répondre à un cas d’usage n’hésitez pas à nous solliciter. Que cela soit votre interlocuteur technique, votre commercial (préféré) ou moi-même (fbr@nomios.fr).

Partager :

Auteurs